作者doching (正在逗趣)
看板AntiVirus
標題Re: [問題] 掃到DOS_AGOBOT.HM,隔離後重開機卻又 …
時間Mon May 3 00:43:09 2004
※ 引述《poki555 (無止境的等待)》之銘言:
: 我用pc-cillin2003作全系統掃描, 已更新最新病毒碼881及windows update所有更新
: 掃到一隻DOS_AGOBOT.HM,
: 而且也把它隔離了,該病毒所在資料夾為C:\WINNT\system32\drivers\etc\hosts
: 但重開機後卻又出現了,而且趨勢網頁也上不去,把hots刪掉後又可以上趨勢網頁
: 但重開機後又出現了,以爬過文,似乎沒有大大遇過這件事情,
: 我跟我室友都這樣...請各位高手們指點,感激不盡!
上奇摩摩域找到的解決方法(黃色部分是我附註的)
users of win xp:
1. 先拔掉網路線
2. 啟動電腦
3. 進入c:\windows\system32\drivers\etc\host
4. 雙點'hosts'
5. 以notepad開啟'hosts'
6. 除了'127.0.0.1 localhost'外, 刪掉其餘地址
(這些地址就是被封鎖的 如沒有localhost一項 那就在全刪後自己加上)
7. 離開並儲存修改
8. 再到c:\windows\system32\
9. 找出名為wmiprvsw.exe or msiwin84.exe or hkey.exe or win32.exe
將之delete
10. 到c:\
11. 有可能出現約70個exe檔,
(假如你在1/5/2003感染病毒, 該70多個exe檔的建立日期就是1/5/2003),
事實上, 那70多個不尋常的執行檔很易被認出.
12. delete那70多個exe檔
13. (開始/執行,輸)入regedit
14.
(進入登錄編輯程式)
進hkey_local_machine\software\microsoft\windows\currentversion\run,
delete 出現 wmiprvsw.exe or msiwin84.exe or hkey.exe or win32.exe 的指令
15. 進hkey_local_machine\software\microsoft\windows\currentversion\runservices,
delete 出現 wmiprvsw.exe or msiwin84.exe or hkey.exe or win32.exe
16. 離開並儲存regedit
17. 最後重新開機 and 接上網路線
--
你 今 天 doch 了 嗎 ?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.122.203.233
1F:→ poki555:我解決了,真是太感謝了!叩..<(/__\)> 推 203.73.98.79 05/03
2F:→ sharptooth:挖咧 重開還是又找到 推 61.231.99.226 05/03